Freifunk-Gateway aufsetzen/wireguard: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
(Dinge)
Zeile 64: Zeile 64:
</pre>
</pre>


Dabei ist "PrivateKey" der eigene private Schlüssel, "PublicKey" der öffentliche Schlüssel der Gegenstelle. "ListenPort" ist der Port, auf dem die Pakete der Gegenstelle empfangen werden. "AllowedIPs" sind alle IPs IPv4 und IPv6.
Dabei ist "PrivateKey" der eigene private Schlüssel, "PublicKey" der öffentliche Schlüssel der Gegenstelle. "ListenPort" ist der Port, auf dem die Pakete der Gegenstelle empfangen werden.


Die Schlüssel können mit folgender Aufrufkette in zwei Dateien "wg-private.key" und "wg-public.key" im aktuellen Verzeichnis erzeugt werden. Diese Schlüssel sollten außerhalb des Servers gesichert werden! Danach können die beiden Dateien gelöscht werden.
"AllowedIPs" wird von Wireguard für die Entscheidung, welches Paket zu welchem Peer gehen soll verwendet. Da sämtliche Pakete geroutet werden können müssen, ist nur ein Peer pro Wireguard Interface möglich und AllowedIPs muss auf alle möglichen IPv4 und IPv6 gesetzt (/0) werden.
 
Die Schlüssel können mit folgender Aufrufkette in zwei Dateien "wg-private.key" und "wg-public.key" im aktuellen Verzeichnis erzeugt werden. Die Keys müssen dann entsprechend in die Konfiguration übernommen werden.


<code>
<code>
Zeile 72: Zeile 74:
</code>
</code>


Weil in der Konfigurationsdatei der geheime private Schlüssel im Klartext steht, empfiehlt es sich anderen Nutzern außer "root" das Lesen zu verbieten.
Weil in der Konfigurationsdatei der geheime private Schlüssel steht empfiehlt es sich anderen Nutzern außer "root" das Lesen zu verbieten.


<code>
<code>
chmod go-r /etc/wireguard/<DEVICENAME>.conf
chmod go-rwx /etc/wireguard/<IFNAME>.conf
</code>
</code>


Abschließend müssen auch Wireguard Interfaces genauso wie GRE Interfaces in die Datei "/etc/default/babeld" eingefügt werden.
Abschließend müssen auch Wireguard Interfaces in die Datei "/etc/default/babeld" eingefügt werden. (Siehe [[Freifunk-Gateway_aufsetzen/Babel]])


=== Tests ===
=== Tests ===

Version vom 23. Juni 2019, 14:02 Uhr

Wireguard

Wireguard benötigt nur an einem Ende eine feste IP Adresse. Außerdem kann es leicht hinter NAT betrieben werden, da UDP verwendet wird.

Dafür ist das Protokoll etwas komplizierter (und verschlüsselt) und dadurch auch etwas langsamer. Dennoch lassen sich je nach Hardware einige hundert MBit/s erreichen.

Installation

Wireguard ist eine recht junge Software und deshalb meist noch nicht in Upstream Kernels enthalten. In debian gibt es ein Paket, dass dynamisch zum Kernel ein passendes Wireguard-Modul kompiliert. Dieses ist nur in den unstable Repositories enthalten.

In die APT Paketverwaltung muss daher eine Quelle für "unstable" eingebunden werden. Diese wird über apt-preferences so weit abgewertet, dass nicht das gesamte System auf unstable geupdated wird.

Eine schöne Anleitung dafür gibt es auf der Wireguard Webseite

~# echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable.list
~# printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' > /etc/apt/preferences.d/limit-unstable
~# apt update
~# apt install wireguard

Interface anlegen

Die Schnittstellenkonfiguration sollte weitgehend genauso aussehen, wie bei GRE beschrieben. Auch die beiden fürs Gateway reservierten IP-Adressen (IPv4 sowie die möglichst zufällig generierte Link-Local-Adresse) können sowohl für GRE, als auch für Wireguard gleichzeitig verwendet werden.

auto <IFNAME>
iface <IFNAME> inet6 static
	address fe80::IRGENDWAS/64

	# initialize wireguard
	pre-up ip link add $IFACE type wireguard
	pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf
	post-down ip link del $IFACE

	# Enable Multicast for Babel
	pre-up ip link set dev $IFACE multicast on

	# iif rules
	post-up ip -6 rule add iif $IFACE table fff
	pre-down ip -6 rule add iif $IFACE table fff

iface <IFNAME> inet static
	address 10.83.252.x/32
	scope link

	# iif rules
	post-up ip -4 rule add iif $IFACE table fff
	pre-down ip -4 rule add iif $IFACE table fff


Hierbei muss die zum Interface gehörende Wireguard-Konfiguration unter /etc/wireguard/<IFNAME>.conf abgespeichert werden.

[Interface]
PrivateKey = UBnpiQhEz2S192d8nmFmr2rm3+NKpKiBy28fyVa3s=
ListenPort = 51820

[Peer]
PublicKey = ZAleBcuJ4O9m2hfmz5bnqM0POCAIHQSsnWVBzreJaWw=
AllowedIPs = 0.0.0.0/0, ::/0

Dabei ist "PrivateKey" der eigene private Schlüssel, "PublicKey" der öffentliche Schlüssel der Gegenstelle. "ListenPort" ist der Port, auf dem die Pakete der Gegenstelle empfangen werden.

"AllowedIPs" wird von Wireguard für die Entscheidung, welches Paket zu welchem Peer gehen soll verwendet. Da sämtliche Pakete geroutet werden können müssen, ist nur ein Peer pro Wireguard Interface möglich und AllowedIPs muss auf alle möglichen IPv4 und IPv6 gesetzt (/0) werden.

Die Schlüssel können mit folgender Aufrufkette in zwei Dateien "wg-private.key" und "wg-public.key" im aktuellen Verzeichnis erzeugt werden. Die Keys müssen dann entsprechend in die Konfiguration übernommen werden.

wg genkey | tee wg-private.key | wg pubkey > wg-public.key

Weil in der Konfigurationsdatei der geheime private Schlüssel steht empfiehlt es sich anderen Nutzern außer "root" das Lesen zu verbieten.

chmod go-rwx /etc/wireguard/<IFNAME>.conf

Abschließend müssen auch Wireguard Interfaces in die Datei "/etc/default/babeld" eingefügt werden. (Siehe Freifunk-Gateway_aufsetzen/Babel)

Tests

Nach Aufruf von "ifconfig" sollten wir einen Eintrag für den Tunnel (in diesem Beispiel wg-test) vorfinden.

Der Aufruf "wg show" gibt etwas aus, mindestens den Namen der konfigurierten Interfaces, deren Ports und Keys. Falls auch die Gegenstelle schon erreichbar ist, werden weitere Informationen angezeigt. Beispiel:

interface: wg-test
  public key: PecwpxwnSKPs4Gp39gvQzxdbZxQBCupB5Oo9OVM/5ko=
  private key: (hidden)
  listening port: 51820

peer: ZAleBcuJ4O9m2hfmz5bnqM0POCAIHQSsnWVBzreJaWw=
  endpoint: 193.202.123.89:51820
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 37 seconds ago
  transfer: 125.24 MiB received, 140.72 MiB sent

Ob das Wireguard Modul geladen ist, kann mit dem Aufruf "lsmod | grep wireguard" ermittelt werden. Beispiel:

wireguard             221184  0
ip6_udp_tunnel         16384  1 wireguard
udp_tunnel             16384  1 wireguard